Katalog CVE

CVE-2026-53489

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

Podatność w containerd pozwala na odczyt dowolnego pliku na hoście przez polecenie kubectl logs. Błąd występuje w pluginie CRI, który przywraca plik container.log z obrazu punktu kontrolnego bez walidacji ścieżki dowiązania symbolicznego.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do odczytu wrażliwych plików systemowych na hoście, co może prowadzić do wycieku danych lub eskalacji uprawnień.

Rekomendacja

Należy niezwłocznie zaktualizować containerd do wersji 2.3.2, 2.2.5 lub 2.1.9, w zależności od używanej gałęzi.

Oryginalny opis (angielski, źródło NVD)

containerd is an open-source container runtime. Versions prior to 2.3.2, 2.2.5 and 2.1.9 contain a bug where the CRI plugin restores container.log from a checkpoint image without validating a symlinked path. This could result in reading an arbitrary file on the host via kubectl logs. This issue has been fixed in versions 2.3.2, 2.2.5 and 2.1.9.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS